Ich habe eine Hierarchie aus einer Offline-CA (Standard) und 2 SubCAs (Enterprise).
Die Offline-CA wird nicht im Active Directory veröffentlicht und die beiden SubCAs werden im AD veröffentlicht.
Kann die Offline-CA so geändert werden, dass sie in AD veröffentlicht, sodass sie das vertrauenswürdige Stammzertifikat automatisch auf den Computern installiert, ohne die Konfiguration zu beeinträchtigen?
Antwort1
Beim „Veröffentlichen in AD“ werden Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und die CA-Zertifikate über LDAP mithilfe von Active Directory veröffentlicht. Das bedeutet, dass die vertrauenden Parteien CRLs und CA-Zwischenzertifikate mithilfe des LDAP-Protokolls herunterladen (ziehen), anstatt (oder zusätzlich zu) HTTP.
Da die vertrauenden Parteien AD vertrauen, können sie außerdem darauf vertrauen, dass das von AD verteilte Stamm-CA-Zertifikat in ihren Zertifikatsspeicher integriert wird.
Sie können Gruppenrichtlinien auch verwenden, um das Stammzertifikat der Zertifizierungsstelle (nicht die Zwischenzertifikate oder die CRLs) an alle vertrauenden Parteien zu verteilen (zu pushen), damit diese es in ihrem Zertifikatspeicher installieren können. Da Gruppenrichtlinien gezielt eingesetzt werden können, erhalten Sie eine genauere Kontrolle über die Veröffentlichung in AD (falls eine genaue Kontrolle erforderlich ist).